Apache Tomcatにおける複数の脆弱性

掲載番号:NV25-001
脆弱性情報識別番号:JVNVU#90271471

概要

Apache Tomcatには、複数の脆弱性が存在します。

認証が失敗せず、認証プロセスをバイパスされる(CVE-2024-52316)
ユーザー間でHTTP/2リクエストとレスポンスが取り違えられる(CVE-2024-52317)
エスケープされないJSPタグの出力により、クロスサイトスクリプティング(XSS)を引き起こされる(CVE-2024-52318)

対象製品

SimpWright

対象となる製品のバージョン

該当バージョンのTomcatを利用している場合、影響あり

対処方法

Tomcatを最新のバージョンにアップデートしてください。

SystemDirector Enterprise

対象となる製品のバージョン

SystemDirector Enterprise for Java
対象モデル: JSF拡張モデル
バージョン: V10.2 ~ V14.1

対処方法

Tomcatを最新のバージョンにアップデートしてください。

ReportFiling

対象となる製品のバージョン

該当バージョンのTomcatを利用している場合、影響あり

対処方法

Tomcatを最新のバージョンにアップデートしてください。

WebSAM vDC Automation

対象となる製品のバージョン

vDCA7.0に同梱されたTomcat

対処方法

以下の手順を参照し、vDCAに同梱されるTomcatをバージョン9.0.100にバージョンアップしてください。
https://sscms.pf.nec.co.jp/SupportPortal/Contents/View.aspx?isIntra=0&isPreview=1&id=3050100771&jpnworldType=0

EnterpriseIdentityManager

対象となる製品のバージョン

HTTP/2 を使用する設定、または、Apache Tomcat 9.0.96 を使用場合

対処方法

影響を受けないバージョンの Apache Tomcat へアップデートください。

WebOTX

対象となる製品のバージョン

CVE-2024-52316
 ・WebOTX Application Server Express V10.1~V11.2 (※)
 ・WebOTX Application Server Standard V10.1~V11.2
 ・WebOTX Application Server Standard Extended Option V11.1~V11.2
 ・WebOTX Application Server Express V12.1 ※2024/12先行提供版(V12.10.00.00)

 (※) WebOTX Enterprise Service Bus V10.1/V10.3/V11.1、WebOTX Portal V10.1/V10.4/V11.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

CVE-2024-52317
 ・WebOTX Application Server Express V12.1 ※2024/12先行提供版(V12.10.00.00)

対処方法

以下のサイトをご参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104875

参考情報

更新情報

2025/09/17
ReportFiling、WebSAM vDC Automation, EnterpriseIdentityManager, WebOTX を登録しました。
2025/01/15
SimpWright、SystemDirector Enterprise を登録しました。